autoup.exe()

如上所述，Sodinokibi恶意软件成功躲过了杀毒软件的检测，并成功将test.dll等模块加载到被攻击系统的内存中。接下来，我们来看看Sodinokibi是如何逃脱Windows UAC用户账号的控制，然后将恶意代码注入Ahnlab杀毒软件进程的。

加载器任务一：绕过 Windows UAC 用户账户控制

注入内存的模块将作为加载器，执行Sodinokibi恶意软件的下一个任务。使用CheckTokenMembership模块确认进程的权限。如果进程权限不足，请尝试绕过UAC。Sodinokibi将其自身写入注册表项software \ classes \ MSC file \ shell \ open \ command \中，并启动一个新的explorer.exe实例来执行CompMgmtLauncher.exe:

当CompMgmtLauncher。exe时，将执行注册表项software \ classes \ MSC file \ shell \ open \ command \中配置的任何内容。在本例中，之前执行的一个命令，即替换感叹号和执行PowerShell脚本，当前正在以更高的权限执行。

加载器模块被加载到内存中，并再次检查权限。这一次，它有了足够的权限，继续攻击。在加载器模块的资源中，有一个XOR加密的可移植可执行文件:

加载程序将这个可执行文件从资源加载到内存中，使用密钥7B在内存中对其进行解密，然后开始执行:

内存使用XOR来解密之前的可移植可执行文件。

内存中通过XOR解密的可移植可执行文件

加载器任务二:注入AHNLAB内存的可移植可执行文件是第二个加载器，用来加载最后一个恶意代码。在这个阶段，恶意软件试图将其有效载荷注入AHNLAB的反病毒进程。

第二个加载程序检测AHNLAB防病毒软件是否安装在目标机器中。如果找到Ahnlab V3 Lite的软件服务包V3服务，将继续搜索autoup.exe。它是autoup.exe Ahnlab更新程序的一部分，容易受到攻击。

GandCrab勒索软件在一开始就与AHNLAB进行了一场“硬”较量。Sodinokibi还故意搜索AHNLAB，并以此为攻击入口:

恶意软件找到AHNLAB防病毒软件

autoup.exe的路径字符串。

如果Sodinokibi已经找到AHNLAB服务和可执行程序，加载程序会自动以挂起状态启动autoup.exe，并尝试通过进程中空化注入其有效负载。

如果AHNLAB没有安装在目标机器上，加载程序将在挂起状态下启动当前PowerShell进程的另一个实例，并试图通过进程中空化来注入其有效负载。

Sodinokibi的有效负载是以可移植的可执行文件的形式，保存在模块资源中。使用密钥7B对该可执行文件进行XOR加密:

XOR的加密可执行文件

Sodinokibi的有效载荷SODINOKIBI使用RC4加密算法对其设置数据进行加密并保存在。grrr文件。文件的名称因变量而异:

Sodinokibi的有效载荷碎片

这些设置包括以下信息:排除和不加密哪些文件夹、文件和文件扩展名。该文件还包含以下信息:哪些进程结束，哪些服务被删除，如何通过CVE-2018-8453漏洞扩展权限，如何与C2服务器通信，以及要显示的勒索信息:

Sodinokibi的设置文件

Sodinokibi通过GetKeyboardLayoutList识别设置的键盘语言。如果它被识别为白名单国家语言，恶意软件将被关闭。

以下是列入白名单的语言列表:

使用GetSystemDefaultUILanguage和GetUserDefaultUILanguage搜索系统语言:

如果没有找到白名单语言，恶意软件将继续执行。它将使用vssadmin.exe从目标计算机上删除卷影副本，以增加数据恢复的难度:

恶意软件会遍历机器中的所有文件夹，加密所有文件，并在每个文件夹中放入一个勒索文件。加密过程完成后，恶意软件会更改桌面壁纸，以便让用户更加意识到自己受到了攻击:

恶意软件完成加密后，改变用户的桌面壁纸。

恶意软件的勒索信息

在恶意软件加密目标机器中的文件后，它将尝试与C2服务器通信。为了在C2服务器中创建URL，恶意软件将搜索先前解密的配置文件中定义的域列表:

配置文件中的域列表

恶意软件将使用硬编码和随机生成的字符串来创建几个随机的URL。

随机生成的URL的硬编码

URL生成后，Sodinokibi会向每个域发送加密的机器信息，包括用户名、机器名、域名、机器语言、操作系统类型和CPU架构等。：

用户点击勒索信息并输入密码后，会出现如下页面，显示要求的价格: